Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en dispositivos Modicon de Schneider Electric

Múltiples vulnerabilidades en dispositivos Modicon de Schneider Electric

Fecha de publicación: 
29/03/2017
Importancia: 
5 - Crítica
Recursos afectados: 
  • Las vulnerabilidades de predictibilidad TCP, evasión de cookie y cifrado débil afectan específicamente a los siguientes dispositivos.
    • Schneider Electric Modicon M221
    • Schneider Electric Modicon M241
    • Schneider Electric Modicon M251
  • La vulnerabilidad de reenvío de paquetes afecta a todos los PLC de la familia Modicon [Actualización 10/07/2019] y a varias versiones de SCADAPack.
Descripción: 

[ACTUALIZACIÓN 31/03/2017] Los investigadores David Formby y Raheem Beyah de Georgia Tech y Fortiphyd Logic, Inc. han informado a Schneider Electric de varias vulnerabilidad que afecta a la familia de PLC Modicon. Las vulnerabilidades están relacionadas con la autenticación y la predictibilidad en las secuencias TCP. Un potencial atacante remoto podría hacerse con el control de sesiones activas o descubrir el tráfico intercambiado.

[ACTUALIZACIÓN 12/04/2017] Eran Goldstein de CRITIFENCE ha informado a Schneider Electric de otras vulnerabilidades que afectan a la familia de PLC Modicon. Las vulnerabilidades están relacionadas con el reenvío de paquetes modbus y la violación de los principios de diseño seguro en protocolo. Un potencial atacante remoto podría capturar y replicar comandos a PLCs que usen el protocolo afectado.

Solución: 

Schneider Electric dispone de un firmare que soluciona las vulnerabilidades de predictibilidad TCP y la evasión de cookies. Está disponible en los productos SoMachine V4.2 y SoMachineBasic V1.5. Las versiones concretas para los dispositivos afectados son:

  • Schneider Electric Modicon M221 firmware: v1.5.0.0
  • Schneider Electric Modicon M241 firmware: v4.0.5.11
  • Schneider Electric Modicon M251 firmware: v4.0.5.11

Para el cifrado débil de credenciales no existe solución, por lo que el fabricante recomienda implementar las buenas prácticas de seguridad siguientes: de la red.

  • Buenas prácticas de seguridad generales
  • Buenas prácticas en redes LAN
  • Buenas prácticas en redes WAN

Para más información consultar el boletín dle fabricante que se puede encontrar en las referencias.

Por último, para la explotación de la vulnerabilidad de reenvío de paquetes modbus, depende del dispositivo afectado:

  • Para los dispositivos Momentum M1E: Es necesario el filtrado de todas las conexiones externas al puerto TCP/502 (Modbus).
  • Para los Modicon M340 (a partir de la v.270), M580 (a partir de la V2.01), Premium (a partir de la V3.10) y Quantum (a partir de la V3.12), las recomendaciones son las siguientes:
    • Habilitar la protección basada en la autenticación para conectarse al PLC. Este método se basa en una función denominada Application Password. Una vez habilitada, la autenticación basada en contraseña es requerida cada vez que un usuario se conecta para cambiar el programa de aplicación.
    • Habilitar la protección mediante una entrada (M340, Premium, Quantum) o un interruptor de llave en el panel frontal (Quantum) para rechazar la conexión remota o los comandos de arranque/ parada.
    • Activar "Access Control List Protection", donde los usuarios pueden configurar las direcciones IP pre-autorizadas para controlar el PLC.
  • Para el resto de dispositivos no se conocen medidas de mitigación al respecto.
Detalle: 

Las vulnerabilidades descubiertas son las siguientes:

  • Predictibilidad TCP: Los números de la secuencia inicial de la comunicación TCP son predecibles lo cual podría permitir el secuestro de las comunicaciones TCP por parte de un potencial atacante. [ACTUALIZACIÓN 31/03/2017] Se ha reservado el identificador CVE-2017-6030 para esta vulnerabilidad.
  • Evasión de cookie de sesión: El número de sesión presenta una carencia de aleatorización y es compartido por varios usuarios. Esto podría permitir a un potencial atacante remoto hacerse con sesiones abiertas utilizado una cookie especialmente modificada. [ACTUALIZACIÓN 31/03/2017] Se ha reservado el identificador CVE-2017-6026 para esta vulnerabilidad.
  • Cifrado débil de credenciales: Las credenciales son enviadas por la red usando codificación Base64. Un atacante podría observar estas credenciales y acceder a la aplicación web para realizar acciones no autorizadas como la monitorización de datos o incluso detener el controlador. [ACTUALIZACIÓN 31/03/2017] Se ha reservado el identificador CVE-2017-6028 para esta vulnerabilidad.
  • Reenvío de paquetes modbus: Si determinadas protecciones de los PLC Modicon se deshabilitan, los dispositivos son vulnerables al reenvío de peticiones Modbus como run/stop o upload/download lo que podría facilitar a un potencial atacante la ejecución de comandos en el dispositivo. [ACTUALIZACIÓN 12/04/2017] Se ha reservado el identificador CVE-2017-6034 para esta vulnerabilidad. [Actualización 14/08/2019] Se ha corregido la descripción de la vulnerabilidad, realmente consiste en una omisión de autenticación por reproducción y captura.
  • [ACTUALIZACIÓN 12/04/2017] Violación de los principios de diseño seguro en protocolo: El protocolo Modbus posee debilidades relacionadas con el establecimiento de sesiones y es susceptible a ataques de fuerza bruta. Se ha reservado el identificador CVE-2017-6032 para esta vulnerabilidad.

Todas las vulnerabilidades son explotables de forma remota.